Inutilita' Penetration Test

Questa e' una piccola considerazione che mi sono ritrovato a fare ultimamente
riguardo all'utilita' di un "penetration test" dopo aver letto un'articolo su
security focus "Tools Make hacker obsolete", ma a cui pensavo gia' da un po'.

Oramai nel mercato italiano si affacciano numerose piccole societa' di
sicurezza, alcune valide, alcune no, alcune che hanno all'interno 'smanettoni' altre
i soliti supercertificati ISS/CheckPoint e derivati, ma comunque tutte attratte dal
mercato della security che offre un numero di potenziali clienti vastissimo da cui si traggono
grossi guadagni rispetto agli investimenti ( e parlo non solo dei servizi, ma
anche dei prodotti ) .

Il focus che volevo fare, e su cui mi piacerebbe sentire altri pareri, e'
sull'utilita' dei Penetration Test.

Questo servizio oramai lo offrono tutti, chi professionalmente e chi no ( parlo di
chi usa semplici strumenti automatizzati e personalizzano giusto il report
banfando di vendere attacchi fatti da super hacker), ma quanto il penetration
test e' utile?

Certo e' vero che puo' essere fatto in remoto senza muovere le risorse interne
della societa' che prende il lavoro, certo puo' essere divertente e stimolare la
fantasia di chi lo effettua che puo' trovare nuove vulnerabilita' in vari
software, nonche' affinare le proprie tecniche di attacco, ma dati gli
elevatissimi costi ( diciamo da 5 a 70mln ? ), mi chiedo:

Che senso ha fare un penetration test alla cieca, quando con quella cifra e'
possibile mandare una persona nell'azienda che fa' una "analisi delle vulnerabilita'"
lavorando a contatto con i system/network manager, valutando in modo "COMPLETO"
lo stato di sicurezza dell'infrastruttura avendo a disposizione TUTTE le
informazioni necessarie sulla rete da analizzare?

Non c'e' da discutere sul fatto che una analisi effettuata dall'interno,
avendo a disposizione configurazioni, accesso ai sistemi e supporto dei
responsabili dia risultati migliori di un Pen-test, che puo' spesso mancare
alcuni dettagli, e che puo' non verificare alcune vulnerabilita', magari solo
perche' sono nascoste o mascherate ( security trought obscurity ) .

Allora, perche' si continuano a vendere i penetration test visti i suoi costi?
Solo per il fascino che ha la "sfida" di chi considera la propria rete sicura e vuole
vedere se qualcuno da fuori riesce a violarla?
Solo per il consiglio di amministrazione che vuole vedere se i responsabili
dei sistemi informativi hanno lavorato bene sul fronte della security?

Non lo so'...


-- 

Fabio Pietrosanti ( naif )
E-mail: naif@sikurezza.org - naif@blackhats.it
PGP Key (DSS) http://naif.itapac.net/naif.asc
--
Free advertising: www.openbsd.org Multiplatform Ultra-secure OS
Free Flame: IPFilter sucks ! 

________________________________________________________
http://www.sikurezza.org - Italian Security Mailing List